Секторът на отбраната в Украйна и Източна Европа е станал мишена на нова, базирана на .NET задна врата, наречена DeliveryCheck (известна още като CAPIBAR или GAMEDAY), която може да доставя полезни товари на следващ етап.

Екипът за разузнаване на заплахите на Microsoft, в сътрудничество с Екипа за реагиране при компютърни инциденти в Украйна (CERT-UA), приписа атаките на руски национален държавен извършител, известен като Turla, който се проследява и под имената Iron Hunter, Secret Blizzard (преди Krypton), Uroburos, Venomous Bear и Waterbug. То е свързано с руската Федерална служба за сигурност (ФСБ).

„DeliveryCheck се разпространява по електронна поща като документи със злонамерени макроси“, заяви компанията в серия от туитове. „Той се запазва чрез планирана задача, която го изтегля и стартира в паметта. Той също така се свързва със сървър C2, за да изтегли задачи, които могат да включват стартиране на произволни полезни товари, вградени в XSLT стилове.“

Успешният първоначален достъп в някои случаи е съпроводен и с разпространението на известен имплант на Turla, наречен Kazuar, който е оборудван да краде конфигурационни файлове на приложения, дневници на събитията и широк набор от данни от уеб браузъри.

Крайната цел на атаките е да се ексфилтрират съобщения от приложението за съобщения Signal за Windows, което позволява на противника да получи достъп до чувствителни разговори, документи и изображения в целевите системи.

Забележителен аспект на DeliveryCheck е способността му да пробива сървъри Microsoft Exchange, за да инсталира компонент от страна на сървъра, използвайки PowerShell Desired State Configuration (DSC) – платформа за управление на PowerShell, която помага на администраторите да автоматизират конфигурирането на системите Windows.

„DSC генерира файл във формат на управляваните обекти (MOF), съдържащ скрипт на PowerShell, който зарежда вградения .NET полезен товар в паметта, като на практика превръща легитимния сървър в C2 център за зловреден софтуер“, обясняват от Microsoft.

Разкритието идва в момент, когато киберполицията на Украйна ликвидира огромна бот ферма с над 100 лица, за които се твърди, че разпространяват враждебна пропаганда, оправдаваща руската инвазия, изнасят лична информация, принадлежаща на украински граждани, и участват в различни схеми за измами.

В рамките на операцията бяха извършени претърсвания на 21 места, в резултат на които бяха иззети компютърно оборудване, мобилни телефони, над 250 GSM шлюза и около 150 000 SIM карти, принадлежащи на различни мобилни оператори.

Източник: The Hacker News

Подобни публикации

16 юни 2025

Grafana — над 46 000 сървъра все още са уязвими

Над 46 000 Grafana сървъри с публичен достъп все още изпълняват неа...
16 юни 2025

WestJet потвърди кибератака, засегнала нейни си...

WestJet, втората по големина авиокомпания на Канада, потвърди, че н...
16 юни 2025

Anubis с нов разрушителен механизъм

Групата Anubis, действаща като платформа „рансъмуер като услуга“ (R...
16 юни 2025

Потребителите искат старите функции да се върна...

Голяма част от потребителите на Windows 11 смятат, че с новото изда...
16 юни 2025

Глобалното прекъсване на услуги на Google Cloud...

Големият срив на Google Cloud в четвъртък, 12 юни, засегна широк кр...
16 юни 2025

Хакери използват изтрити и изтекли покани за Di...

Хакери са открили начин да превземат изтрити и изтекли покани за съ...
15 юни 2025

Microsoft проучва проблем със стартиране на Sur...

Microsoft потвърди за технически проблем, при който устройства Surf...
15 юни 2025

Microsoft съобщава за проблем с удостоверяванет...

Microsoft проучва технически проблем, който засяга удостоверяването...
Бъдете социални
Още по темата
07/06/2025

PathWiper – нов разрушителе...

Изследователи от Cisco Talos алармират за...
05/06/2025

Украинското военно разузнав...

Украинското военно разузнаване е пробило системите...
31/03/2025

Как съкращенията в CISA вли...

Експерти по сигурността от щатски и...
Последно добавени
16/06/2025

Grafana — над 46 000 сървър...

Над 46 000 Grafana сървъри с...
16/06/2025

WestJet потвърди кибератака...

WestJet, втората по големина авиокомпания на...
16/06/2025

Anubis с нов разрушителен м...

Групата Anubis, действаща като платформа „рансъмуер...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!